Quantum computing 'steelt nu, ontcijfert later'
Laat me eerlijk zijn: uw gegevens zijn al onveilig.
Niet dat ze vandaag worden gehackt, maar ze worden opgeslagen en pas ontcijferd als quantumcomputers volwassen zijn. Deze aanval wordt 'Harvest Now, Decrypt Later' genoemd, en het gebeurt al.
Het probleem is dringender dan u denkt
Quantum computing wordt vaak gezien als een verre, theoretische bedreiging. Ronit Ghose, hoofd van Global Financial Future bij Citi Research, wijst erop dat deze mentaliteit de financiële dienstverlening in gevaar brengt.
"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."
Dit is geen bangmakerij. De huidige public-key cryptografie (RSA, ECC) zal machteloos zijn tegenover voldoende krachtige quantumcomputers. Het Shor-algoritme kan grote gehele getallen in polynomiale tijd ontbinden, wat betekent dat 2048-bits RSA-sleutels nutteloos zullen zijn.
Tijdlijnprobleem
De kernvraag is niet 'of quantum computing zal komen', maar 'wanneer het zal komen'.
- Optimistische schatting: praktische quantumcomputers binnen 5-10 jaar
- Conservatieve schatting: 15-20 jaar
- Realiteit: de levenscyclus van gegevens kan wel 10-20 jaar duren
Als de gegevens die u vandaag versleutelt over 15 jaar nog steeds gevoelig zijn (medische dossiers, financiële gegevens, staatsgeheimen), loopt u al risico.
Vooruitgang in Post-Quantum Cryptography (PQC)
Het goede nieuws is dat de oplossing al onderweg is. NIST heeft in 2024 de eerste batch post-quantum cryptografische algoritmen gestandaardiseerd:
- CRYSTALS-Kyber: voor key encapsulation (sleutelinkapseling)
- CRYSTALS-Dilithium: voor digitale handtekeningen
- SPHINCS+: stateless hash-based signatures (staatloze hash-gebaseerde handtekeningen)
Het slechte nieuws is dat de migratie naar deze algoritmen tijd kost - voor grote organisaties kan dit jaren duren.
Een nieuwe dimensie van supply chain security (beveiliging van de toeleveringsketen)
Dit is geen verdedigingsprobleem van één enkele organisatie. Een interessant geval: een Chrome-extensie bleek bedrijfsgegevens en 2FA-codes te stelen.
"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber
Dit herinnert ons eraan: voordat we nadenken over quantumdreigingen, zit de basisbeveiliging nog vol gaten. Supply chain attacks (aanvallen op de toeleveringsketen), risico's van derden, authenticatie-omzeiling - deze problemen verdwijnen niet door de komst van quantum computing.
Het snijvlak van AI en cybersecurity
Een trend om in de gaten te houden: AI + cybersecurity wordt een enorme carrièremogelijkheid.
"AI Cybersecurity will be a huge career opportunity." — @vihanjain
Dit is niet alleen het verdedigen tegen AI-gestuurde aanvallen, maar ook het verbeteren van de beveiligingsoperaties met AI: dreigingsdetectie, afwijkende identificatie, geautomatiseerde respons. Maar AI brengt ook nieuwe risico's met zich mee - model poisoning (modelvergiftiging), adversarial examples (vijandige voorbeelden), hallucinaties die leiden tot verkeerde veiligheidsbeslissingen.
Praktische adviezen voor bedrijven
- Inventariseer versleutelde activa: identificeer welke gegevens langdurige bescherming nodig hebben
- Stel een PQC-migratieplan op: wacht niet tot het laatste moment
- Verbeter de basisbeveiliging: VAPT (Vulnerability Assessment and Penetration Testing - kwetsbaarheidsbeoordeling en penetratietesten) mag geen eenmalig project zijn, maar een continue levenscyclus
- Focus op de supply chain: elke tool van derden is een potentieel aanvalsoppervlak
- Investeer in talent: talent dat zowel AI als beveiliging begrijpt, zal uiterst schaars zijn
Conclusie
De quantumdreiging is geen sciencefiction, maar een wiskundig feit. Het verschil zit hem alleen in: bereidt u zich nu voor, of herstelt u zich nadat de aanval heeft plaatsgevonden.
De keuze is aan u. Maar onthoud: de aanvallers zitten al achter u aan, ze verzamelen alle gegevens die u vandaag versleutelt.
